[mdk-re] Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса

Волков Сергей =?iso-8859-1?q?vserge_=CE=C1_menatepspb=2Emsk=2Eru?=
Ср Апр 4 10:21:13 MSD 2001 

----- Original Message -----
From: Ivan Kudryashov <jony на chat.ru>
To: Волков Сергей <mandrake-russian на altlinux.ru>
Sent: Wednesday, April 04, 2001 9:58 AM
Subject: Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса


> Hello, Волков Сергей!
>
> 04.04.2001 09:16:20, you wrote:
>
>
> >> Зарегистрировать   всех  инет-юзеров  на  сервере  как  пользователей,
> >> раздать   им   статические   IP,   написать  скрипт,  который  врубает
> >> маскарадинг  для  IP  пользователя  при  входе  в  систему и автоматом
> >> вырубает  его  же  при  выходе.  Тогда для работы в инете пользователь
> >> обязан будет войти на сервер (можно заставить делать это через telnet,
> >> или  ещё как-нибудь). Соответственно, будет безразлично, с какой тачки
> >> входит   пользователь,   но   при  его  входе  будет  подниматься  IP,
> >> зарегистрированный  на  него. Естественно, обойти это можно, но только
> >> путём  кражи  или подбора пароля, но надёжность пароля - головная боль
> >> пользователя. И, кстати, DHCP в такой ситуации не нужен вообще.
>
> ВС> Иван ты предлагаешь написать прогу которая грубо говоря является
клиент
> ВС> серверной и при условии правильной авторизации пользователь работает в
инете
> ВС> в противном случае нет
>
> Да.  Прошу  пардону  за  некоторую сумбурность изложения, я сегодня по
> дороге на работу ногу подвернул, болит, зараза, соображать мешает...
>
> ВС> Просто  я  к  чему  --  около двух лет назад у меня вставала такая
> ВС> проблема  в общежитиях университета РУДН, тогда попытка решить эту
> ВС> задачу  остановилась  на  уровне  списка  разрешенных MAC адресов,
> ВС> однако  народ  быстро начал это дело пытаться обойти, в добавок ко
> ВС> всему  было выявлено что некоторые (особенно старые) сетевые карты
> ВС> (ISA) могут самопроизвольно менять МАК адреса и так
>
> Про  что  я и говорю. В принципе, вопрос можно поставить так: можно ли
> как-то  идентифицировать  компьютер, подключенный к сети, при условии,
> что  его  пользователь  может  произвольным образом менять _любые_ его
> настройки?  Общий  ответ  на  этот  вопрос:  если сетка - Ethernet, то
> нельзя.  Если  витая  пара,  то  можно  попробовать  сделать  проверку
> авторизации  на уровне хабов, но это довольно нетривиальная задача. Я,
> например,  даже  отдалённо  не  представляю,  как за неё браться (хотя
> способ, конечно, есть, надо в доках копаться).
ну не знаю хаб устройство тупое и ему не прикажешь отдавать все адреса и
даже не обратишся к нему :((

>
> По  этой  причине  единственный  выход  -  авторизовать  не  комп,   а
> пользователя.  Кстати, в win-сетях это можно сделать на уровне домена.
> Очевидный,  дедовский  способ  авторизации  - заставить ввести пароль.
> Дальше всё понятно.
>
это обходится нажатием простого ESC, однако согласен что по умолчанию всем
пользователям присоить по DHCP можно принудительно левую сеть с роутингом в
никуда

> Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не
> писать собственные проги, а просто прописать поднятие маскарадинга для
> IP,  зарегистрированного  на  пользователя,  в его входных скриптах. И
> отключение,  соответственно,  при  выходе. Естественно, надо запретить
> редактирование  этих скриптов пользователю. Надо в инет - зайди по ssh

а как менять на ходу IP если пользователь вошел с другого IP address

> или  telnet,  введи  пароль  -  и всё работает. Как только вышел - всё
> отрубилось.  Единственное  неудобство  -  болтающееся на десктопе окно
> телнета.  Но это не страшно, ИМХО. При таком способе любые манипуляции
> с  IP, MAC - адресами, даже точкой подключения к сети, ничего не дают.
> Если  пользователь изменит данную ему настройку, он просто не выйдет в
> инет  (ну,  изменил  ты IP на соседский, пароль-то свой остался... так
> что  при  входе поднимется не его, а твой IP). Надёжность этой системы
> ограничивается   только   надёжностью   криптозащиты  и  корректностью
> действий  пользователей  по  защите своих паролей от компрометации. Но
> тут  надо  просто  договориться,  что  каждый  будет  платить столько,
> сколько  отработано  от  его имени, и никаких разговоров на тему "я не
> работал, меня хакнули". Хакнули - значит хреново пароль бережёшь.
>
> Если  предусматривать дальнейшее расширение сети - можно действительно
> написать  CS-программку,  которая  будет  заниматься  всеми описанными
> делами на клиенте. Но при объёме в десяток - другой пользователей это,
> ИМХО, излишняя трата времени и сил.

а еще эта задача похоже очень актуальна для домашних сетей, которых так
много сейчас??
кто знает как она сейчас решается???
>
> -------------------------------------------
> С уважением,
> Ivan Kudryashov <jony на chat.ru> ICQ 1547081
>
>
>
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian на altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
>

Подробная информация о списке рассылки community